Stored-XSS漏洞检测的研究与设计

发布时间：2018-09-16 20:54

【摘要】：跨站脚本XSS(Cross Site Scripting)漏洞已经成为了大多数网站共同面对的Web安全问题,对XSS漏洞的有效预防检测有利于提高Web安全。分析XSS漏洞的攻击原理,指出现有动态分析方法在检测存储型XSS漏洞方面的不足,提出一种有效的存储型漏洞动态检测方法。设计并实现了Stored-XSS漏洞动态检测模型,并在实际的场景下对该模型进行了测试评估,实验证明提出的方法能对存储型XSS漏洞进行有效检测。
[Abstract]:Cross-site script XSS (Cross Site Scripting) vulnerability has become a common Web security problem faced by most websites. The effective prevention and detection of XSS vulnerability is helpful to improve the Web security. This paper analyzes the attack principle of XSS vulnerability, points out the shortcomings of existing dynamic analysis methods in detecting storage XSS vulnerability, and proposes an effective dynamic detection method for storage vulnerability. The dynamic detection model of Stored-XSS vulnerability is designed and implemented, and the model is tested and evaluated in the actual scenario. The experimental results show that the proposed method can effectively detect the stored XSS vulnerability.
【作者单位】： 上海理工大学光电信息与计算机工程学院;上海计算机软件技术开发中心上海市计算机软件评测重点实验室;
【基金】：国家自然科学基金委员会与中国民航空局联合资助项目(60979011)
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 宋其章;张伫;;互联网技术的应用与安全[J];金融电子化;2000年12期

2 富宇,唐国维,刘显德;缓冲区溢出的预防与检测技术综述[J];计算机工程与应用;2005年32期

3 陈文波;李善玺;;ARP欺骗动态检测防御系统[J];中国教育网络;2007年08期

4 黄玉文;刘春英;李肖坚;;基于可执行文件的缓冲区溢出检测模型[J];计算机工程;2010年02期

5 于继江;;基于危险函数的缓冲区溢出检测方法的研究与实现[J];计算机应用与软件;2011年09期

6 刘建波;;基于流量分析的P2P僵尸网络检测[J];计算机与数字工程;2011年03期

7 段红;三足鼎立:边界+内部+Web——Check Point推出全新Web安全网关[J];计算机安全;2004年06期

8 徐锋,吕建;Web安全中的信任管理研究与进展[J];软件学报;2002年11期

9 晓齐;为基于Web连接提供安全保护 Check Point全新Web安全网关—Connectra[J];信息网络安全;2004年06期

10 查义国,徐小岩,张毓森;在Web上实现基于角色的访问控制[J];计算机研究与发展;2002年03期

相关会议论文 前5条

1 马俊;李根;卢凯;;基于模拟器的缓冲区溢出动态检测方法[A];全国第19届计算机技术与应用（CACIS）学术会议论文集（下册）[C];2008年

2 张继红;陈小全;;Web开发课程中“入侵与防范”教学探索与实践[A];2008年中国高校通信类院系学术研讨会论文集（下册）[C];2009年

3 刘宝旭;梅杰;许榕生;安德海;于明俭;陈向阳;郑鹏;;Internet安全信息系统建构模式[A];第9届全国核电子学与核探测技术学术年会论文集[C];1998年

4 李国俊;苏锐丹;周利华;;基于OpenSSL的Web安全访问控制设计与实现[A];2006年全国开放式分布与并行计算机学术会议论文集（三）[C];2006年

5 奚琪;王清贤;曾勇军;;恶意代码检测技术综述[A];计算机研究新进展（2010）——河南省计算机学会2010年学术年会论文集[C];2010年

相关重要报纸文章 前10条

1 艾文;“一站式”：注力Web安全应用[N];中国计算机报;2002年

2 本报记者 宋丽娜;一站式的Web安全网关[N];网络世界;2004年

3 四川 郑华;用SafeWeb安全上网[N];电脑报;2001年

4 陈绍瑜;支持安全的Web连接[N];中国计算机报;2004年

5 本报记者 胡英;NetSwift iGate：超越VPN的快速专网[N];计算机世界;2003年

6 评测实验室 秦钢 李韬;联想网御SIS－3000测试小记[N];计算机世界;2005年

7 ;Web服务器安全铠甲[N];中国计算机报;2000年

8 ;安全可靠接入方便[N];中国计算机报;2005年

9 易水;SSL VPN：虚拟专网的新发展[N];计算机世界;2003年

10 中国电信集团北京研究院 叶华 张园;软交换规模商用的瓶颈与出路[N];通信产业报;2003年

相关硕士学位论文 前10条

1 贾晖;基于Linux平台的增强安全型Web Server系统的开发[D];华北电力大学（北京）;2003年

2 裴德志;基于J2EE的WEB安全研究[D];武汉理工大学;2006年

3 石昌文;基于记忆原理的Web安全预警研究[D];西安建筑科技大学;2006年

4 李新;基于Windows Server的虚拟主机Web安全研究[D];中国石油大学;2009年

5 刘红玉;基于WEB的基金申请系统代理签名技术的研究[D];昆明理工大学;2006年

6 张伍;数字化校园工程的建设及相关技术研究[D];电子科技大学;2008年

7 马闯;军网安全漏洞检测系统的研究与实现[D];吉林大学;2008年

8 崔强强;基于网络的Web漏洞检测系统的研究与实现[D];西安电子科技大学;2008年

9 陈悦;面向AJAX框架Web服务的攻击和安全防御[D];上海交通大学;2007年

10 贺荣;Web应用服务安全性研究及解决方案[D];中南大学;2008年

，

本文编号：2244755